Numérisation et RGPD : quelle démarche ?

Sécurité

Le tournant numérique est devenu un passage obligatoire pour les entreprises qui se développent. La dématérialisation des documents de l’entreprise implique la mise en place de systèmes de gestion électronique de documents. Ces systèmes traitent les données des documents numérisés et sont soumis aux réglementations sur la protection des données personnelles. Pour toute entreprise souhaitant mettre en place un système de numérisation, la mise en conformité avec le Règlement Général de Protection des Données (RGPD) est obligatoire. Essayons d’y voir plus clair !

Pourquoi se mettre en conformité avec le RGPD ?

Dans le cadre de la transformation numérique des entreprises, la mise en place des systèmes de gestion électronique des documents ainsi que les échanges électroniques de données se multiplient. Qu’il s’agisse d’échanges de documents de vente (devis, factures, contrats, etc.), de documents relatifs à la relation commerciale en général, ou de tout autre type de documents administratifs, les données circulent par voie électronique via des réseaux informatiques.
Tous ces échanges impliquent nécessairement la mise en conformité vis-à-vis du règlement général sur la protection de la vie privée et des données personnelles (RGPD), puisque les documents échangés contiennent des données sensibles, qu’elles soient d’ordre privé ou non.

La mise en conformité vis-à-vis du Règlement Général sur la Protection des Données (RGPD) permet ainsi à l’entreprise de protéger ses données et de se conformer à la loi.

numérisation et rgpd

RGPD : définition et principes

Le Règlement Général sur la Protection des Données (RGPD) est un règlement entré en vigueur le 25/05/2018. Il vise à renforcer les droits des citoyens de l’Union Européenne en matière de protection de leurs données personnelles. Ce règlement oblige les organismes (entreprises, associations, etc.) des pays de l’UE ainsi que ceux issus des pays hors Union Européenne mais qui collectent et traitent les données des résidents de l’Union Européenne, à se conformer à ses dispositions.

Les principes du RGPD

La transparence

Toute entreprise qui collecte les données des utilisateurs de son site doit indiquer de façon claire la finalité de la collecte des données. Il est également nécessaire de mentionner le temps de conservation de ces données ainsi que toute personne ou entreprise tierce qui y aura accès.

Le site en question doit afficher ces informations de façon claire, lisible et compréhensible en vue d’obtenir le consentement de l’utilisateur.

Les droits des utilisateurs

Le RGPD énonce que chaque utilisateur a un droit d’accès aux données personnelles qu’il a fournies à l’entreprise (via un formulaire, par exemple). Il bénéficie également du droit à l’oubli et à l’effacement. Chaque utilisateur peut ainsi télécharger ou demander la modification voire la suppression de ses informations personnelles.

La responsabilité des entreprises

L’entreprise est responsable de la collecte, du traitement ainsi que de la transmission des informations collectées. Elle est tenue de mettre en place tous les moyens nécessaires à la protection de ces données. Le cas échéant, la loi oblige également les entreprises à signaler à leurs clients, ainsi qu’aux autorités, toute fuite de leurs données, cela sous un délai de 72 heures. 

Tout manquement aux règles du RGPD expose l’entreprise concernée à de lourdes sanctions, qui peuvent aller jusqu’à 20 millions d’euros ou 4% de son chiffre d’affaires. En France, c’est la CNIL qui a la charge d’appliquer ces sanctions.

Comment se mettre en conformité ?

Toute entreprise souhaitant se mettre en conformité avec le RGPD doit tout simplement répondre à ces critères :

  • Rester transparente, licite et loyale sur la collecte des données.
  • Ne collecter que les données nécessaires à la réalisation d’un objectif légitime.
  • Limiter la collecte des données au strict minimum des informations requises pour réaliser cet objectif.
  • Assurer la vérification et la mise à jour des données collectées.
  • Respecter les délais de conservation annoncés.
  • Assurer la sécurité des données collectées, traitées ou transférées.

Envie d’aller plus loin ?

Découvrir nos prochains webinars

Comment préparer la mise en conformité RGPD lors d’un projet de numérisation ?

Ces 6 étapes clés sont définies par la CNIL et permettent aux entreprises de préparer leur mise en conformité avec le RGPD :

  1. Nommer une personne chargée de la protection des données. Il s’agit du Délégué à la Protection des Données (DPO), qui se charge de l’information, du conseil et du contrôle interne.
  2. Créer un registre ou une cartographie du traitement des données personnelles collectées par l’entreprise.
  3. Définir les priorités en termes d’objectifs pour limiter la collecte des données au strict minimum.
  4. Mener une analyse d’impact sur la protection des données personnelles et des risques encourus au cours de leur traitement.
  5. Mettre en place une organisation interne permettant de respecter les procédures garantissant la protection des données.
  6. Constituer et mettre à jour toute documentation prouvant le respect des principes du RGPD.

Numérisation et RGPD

Un projet de dématérialisation peut nécessiter l’intervention de nombreux prestataires externes pour assurer la numérisation des documents et la mise en place de systèmes de GED.
Pour s’assurer que tout le projet se déroule dans le respect du cadre du RGPD et pour éviter tout risque touchant à la protection des données, il est nécessaire de choisir un prestataire dont les pratiques respectent la Loi.

En fait, ce prestataire externe est, du point de vue du RGPD, un sous-traitant qui doit se mettre en conformité et assurer le respect des principes de la protection des données. Il doit ainsi garantir que les mesures mises en place au sein de votre établissement sont suffisantes en matière de protection des informations.

numérisation rgpd données

Commencez ainsi par vous assurer que le contrat que vous signerez contienne une clause expliquant la responsabilité du prestataire dans la mise en place des moyens de protection des données.

Ensuite, si vous utilisez des logiciels de GED, il est nécessaire de bien encadrer le transfert des données. Il est, de fait, préférable d’héberger les données en France ou dans un pays de l’UE.

Au final, dans le choix de votre solution de GED ou de tout autre outil informatique, il est nécessaire de vérifier l’existence des fonctionnalités permettant de respecter les obligations par rapport au RGPD (accès, modification et suppression des données).

Numexo : pour la mise en conformité RGPD lors de votre projet de numérisation

Numexo est une entreprise française spécialisée dans la transformation numérique et la mise en place de projets de numérisation. Elle opère dans le respect du cadre fixé par le RGPD et vous permet d’entamer votre projet de digitalisation en toute sérénité. Vous avez des questions à nous poser ou un projet à étudier ? N’hésitez pas à nous contacter !

Articles sur le même thème:

  1. Numérisation et sécurité : ce qu’il faut savoir
  2. Signature électronique : comment ça marche ?
  3. GED et RGPD : comment gérer ses données ?
  4. Coffre fort électronique : ce qu’il faut savoir
  5. Les bonnes pratiques de protection des données dans le Cloud
  6. La sécurité des données en 2022 : qu’est-ce qui change ?